win32/Rootkit.Agent.NFF特洛伊木马的变种

来源：百度知道编辑：UC知道时间：2024/05/29 12:18:46

13:57:27 HTTP 过滤器文件 http://www.oiuytre.net/down/ko.exe Win32/Rootkit.Agent.NFF 特洛伊木马的变种连接中断 - 已隔离 E169D0211E3F448\Administrator 通过应用程序访问 web 时检测到威胁: D:\Program Files\Tencent\QQ\QQ.exe.

这个咋除掉啊杀毒软件又说没的病毒但是上了qq后他就不停攻击

同样的情况
卡8高启发，宰了4个

2008-12-23 12:24:35 扫描已被删除木马程序 Heur.Invader 高启发式分析文件 F:\病毒样本\muma.zip/ kao.css
2008-12-23 12:24:35 扫描已被删除木马程序 Heur.Invader 高启发式分析文件 F:\病毒样本\muma.zip/ mas1.css
2008-12-23 12:24:34 扫描已被删除木马程序 Heur.Invader 高启发式分析文件 F:\病毒样本\muma.zip/ mas1.exe
2008-12-23 12:24:34 扫描已被删除木马程序 Trojan.Win32.Agent.ahok 高确定文件 F:\病毒样本\muma.zip/ 7.exe

————————————————————————————————————————————
其中 a279.css 后缀名改为 exe 后运行，会在windows下生成 jiocs.dll ，在临时文件夹下生成 Migsni.sys 并加载为驱动

卡8交互模式下生成dll文件会提示，临时文件夹不在保护范围，生成 sys 没有提示，加载为驱动时卡8的主动防御会报，但无论是选择“终止”还是“隔离”，驱动的自启动项已经被创建，如果不手动清理的话，再次启动电脑后驱动很可能会抢在卡8之前被加载。没了回滚功能

Win32/Pigeon!generic win32/Adware.BDSerach Win32/Looked!generic win32/alaqq.1371 Trojan/Win32.Huigezi Win32/Adware.CDN Win32/Packed.Themida Trojan/Win32.MNless Win32/Xorer.NAD win32/xorer变种